Elastic Agent 配置加密

了解 Elastic Agent 安全模型以及它如何处理集成配置中的敏感值非常重要。从高层次来看，Elastic Agent 通过加密连接从 Fleet Server 接收配置数据，并将加密的配置持久化到磁盘。这种持久化允许代理即使无法连接到 Fleet Server 也能继续运行。

整个 Fleet Agent 策略在静态时被加密，但如果您有权访问加密的配置数据和相关密钥，则可以恢复。密钥材料以操作系统相关的方式存储，如下节所述。

密钥材料存储在系统钥匙串中。该值按原样存储，没有任何额外的转换。

配置数据使用 DPAPI CryptProtectData 和 CRYPTPROTECT_LOCAL_MACHINE 进行加密。额外的熵来自存储在 .seed 文件中的 crypto/rand 字节。配置数据以单独的文件存储，其中文件名是密钥的 SHA256 哈希值，文件内容使用 DPAPI 数据加密。密钥数据的安全性取决于文件系统权限。只有管理员才能访问该文件。

加密密钥来自存储在 .seed 文件中经过 PBKDF2 转换后的 crypto/rand 字节。配置数据以单独的文件存储，其中文件名是密钥的 SHA256 哈希值，文件内容使用 AES256-GSM 加密。密钥材料的安全性很大程度上取决于文件系统权限。